Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Détails sur la source des menaces

Accédez à cette page en cliquant sur un lien Serveur externe à partir de la page Sources des menaces .

Utilisez la page Détails de la source de la menace pour afficher des informations d’analyse et un résumé de la menace pour la source de la menace. Les informations suivantes s’affichent pour chaque source de menace.

  • Résumé de la menace (emplacement, catégorie, nom d’hôte et heure de vision)

  • Nombre total de visites

  • Protocoles et ports (TCP et UDP)

Pour les sources de menaces de type C&C, vous pouvez ajouter la source de la menace à la liste d’autorisation ou la signaler comme faux positif à Juniper Networks à partir de la page Détails de la source de menaces.

Pour la source de menace de type DNS, vous pouvez uniquement signaler la source de la menace comme faux positif à Juniper Networks.

Tableau 1 : Options de la page de détails de la source de la menace (en haut à droite de la page)

Bouton/Lien

But

Sélectionnez l’option > Ajouter à la liste blanche

Choisissez cette option pour ajouter la source de la menace à la liste d’autorisation.

Avertissement:

L’ajout d’une source de menace à la liste d’autorisation déclenche automatiquement un processus de correction pour mettre à jour tous les hôtes affectés (dans ce domaine) qui ont contacté la nouvelle source de menace sur liste d’autorisation.

Tous les événements C&C liés à ce serveur sur liste autorisée seront supprimés des événements des hôtes concernés et un recalcul du niveau de menace de l’hôte aura lieu.

Si le score de l’hôte change au cours de ce recalcul, un nouvel événement de l’hôte s’affiche, décrivant la raison pour laquelle il a été réévalué. (Par exemple, « Niveau de menace de l’hôte mis à jour après l’effacement de la source de menace 1.2.3.4 ».) De plus, la source de menace n’apparaîtra plus dans la liste des sources de menace car elle a été effacée.
Note:

Vous pouvez également ajouter la source de menace à la liste d’autorisation à partir de la page Configuration > Listes d’autorisation . Pour plus d’informations, consultez Créer des listes d’autorisation et de blocage .

Sélectionnez l’option > Signaler comme faux positif

Choisissez cette option pour ouvrir un nouvel écran qui vous permet d’envoyer un rapport à Juniper Networks, informant Juniper d’un faux positif ou d’un faux négatif. Juniper enquêtera sur le rapport, mais cela ne change rien au verdict.

Sous Intervalle de temps se trouve un graphique affichant la fréquence des événements au fil du temps. Un événement se produit lorsqu’un hôte communique avec l’adresse IP source de la menace (envoi ou réception de données). Vous pouvez filtrer ces informations en cliquant sur les liens de période : 1 jour, 1 semaine, 1 mois, Personnalisé (sélectionnez votre propre période).

Hosts est une liste d’hôtes qui ont contacté le serveur. Les informations fournies dans cette section sont les suivantes :

Tableau 2 : données sur l’hôte contacté par la source de la menace

Champ

Définition

Hôte client

Nom de l’hôte en contact avec la source de la menace.

Adresse IP du client

Adresse IP de l’hôte en contact avec la source de la menace. (Cliquez sur la page Détails de l’hôte pour cette adresse IP hôte.)

Niveau de menace à l’instant

Niveau de menace de la source de la menace, tel que déterminé par une analyse des actions et des comportements au moment de l’événement.

Statut

Action effectuée par l’appareil sur la communication (si elle a été autorisée, doline ou bloquée).

Protocole

Protocole (TCP ou UDP) : la source de la menace utilisée pour tenter de communiquer.

Source Port

Port utilisé par la source de la menace pour tenter la communication.

Nom de l’appareil

Nom de l’appareil en contact avec la source de la menace.

Date/heure de consultation

La date et l’heure de l’accès à la source de menace la plus récente.

Nom d’utilisateur

Nom de l’utilisateur hôte en contact avec la source de la menace.

Domaines est une liste de domaines que l’adresse IP a précédemment utilisés au moment d’événements suspects. Si l’adresse IP d’une source de menace change de nom de domaine/DNS pour échapper à la détection, une liste des différents noms DNS utilisés sera répertoriée, ainsi que les dates auxquelles ces noms ont été vus.

Tableau 3 : données sur les domaines associés à la source de la menace

Champ

Définition

Hôte C & C

Liste des domaines, les adresses IP de destination dans les événements source de menace résolus

Vu pour la dernière fois

La date et l’heure de la dernière attaque au serveur source de menaces

Les signatures sont une liste d’indicateurs de menace associés à l’adresse IP. La source de menaces bloquée par le « Global Threat Feed » de Juniper affichera les domaines ou les signatures. (La colonne « Bloqué via », sous la liste des sources de menaces, indique si une adresse IP de source de menace a été trouvée dans le « Global Threat Feed » de Juniper ou dans un autre flux personnalisé configuré.)

Tableau 4 : données sur les signatures des sources de menaces

Champ

Définition

Nom

Le nom ou le type de logiciel malveillant détecté.

Catégorie

Description du logiciel malveillant et de la manière dont il a pu compromettre une ou plusieurs ressources.

Date

La date à laquelle le logiciel malveillant a été détecté.

Certificats est une liste de certificats associés à la source de la menace.

Tableau 5 : données de certificat de source de menace

Champ

Définition

hachage de certificat

Affiche le hachage du certificat de la source de la menace.

Date/heure de consultation

Date et heure de la dernière mise à jour du fichier de hachage du certificat.

Documentation connexe